幫助組織控制、指導(dǎo)和交流其網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理活動(dòng)。

　　安全治理和業(yè)務(wù)目標(biāo)

　　安全和風(fēng)險(xiǎn)管理的標(biāo)準(zhǔn)方法有時(shí)會(huì)被誤解。雖然是一個(gè)有用的起點(diǎn)，但預(yù)先確定的安全風(fēng)險(xiǎn)管理結(jié)構(gòu)、業(yè)務(wù)流程、角色和要求的建立往往與業(yè)務(wù)中其他地方使用的正常決策結(jié)構(gòu)和流程分開(kāi)。這種分離會(huì)導(dǎo)致技術(shù)決策過(guò)程中的不確定性、延遲和混亂。

　　優(yōu)先遵守或遵守預(yù)定義的安全治理結(jié)構(gòu)，而不是尋找制定適合業(yè)務(wù)的有效風(fēng)險(xiǎn)管理決策的方法，可能會(huì)導(dǎo)致錯(cuò)誤的控制感，從而導(dǎo)致錯(cuò)誤的安全感。這并不是說(shuō)治理活動(dòng)是一件壞事。如果做得好，它會(huì)大大有助于有效的風(fēng)險(xiǎn)管理，從而有助于組織的安全。

　　投資風(fēng)險(xiǎn)管理，信任決策者

　　管理技術(shù)系統(tǒng)風(fēng)險(xiǎn)的管理方式應(yīng)該與組織管理其他業(yè)務(wù)活動(dòng)的方式?jīng)]有什么不同。治理一詞意味著組織積極控制其面臨的風(fēng)險(xiǎn)，并為其業(yè)務(wù)安全提供指導(dǎo)。有效的安全治理要求組織投資于風(fēng)險(xiǎn)管理資源和信任決策者，以便擁有合適的人員、結(jié)構(gòu)和流程。這使得在追求組織的業(yè)務(wù)目標(biāo)和目標(biāo)時(shí)做出明智的風(fēng)險(xiǎn)管理決策成為可能。

　　良好的安全治理是什么樣的？

　　沒(méi)有“一刀切”的治理方法可以適用于每個(gè)組織。組織應(yīng)該建立適合他們的安全風(fēng)險(xiǎn)管理角色和決策制定流程（記住一些組織可能必須遵守強(qiáng)制要求）。

　　無(wú)論任何預(yù)先確定的結(jié)構(gòu)或流程如何，在以下情況下更有可能采用良好的組織風(fēng)險(xiǎn)管理治理方法：

　　組織的業(yè)務(wù)目標(biāo)和優(yōu)先事項(xiàng)是明確的

　　組織關(guān)心的資產(chǎn)（或在實(shí)現(xiàn)其業(yè)務(wù)目標(biāo)方面的價(jià)值）被清楚地確定

　　該組織部署了使風(fēng)險(xiǎn)管理有效所需的資源

　　組織明白，要使安全有效，它必須是“一切照舊”的一部分

　　組織確定誰(shuí)對(duì)技術(shù)系統(tǒng)的安全負(fù)責(zé)（和負(fù)責(zé)）

　　組織在追求其業(yè)務(wù)目標(biāo)時(shí)會(huì)（也不會(huì)）承擔(dān)的風(fēng)險(xiǎn)是明確的

　　該組織確定誰(shuí)負(fù)責(zé)（和負(fù)責(zé)）做出有關(guān)技術(shù)系統(tǒng)的安全決策

　　組織知道如何獲取為這些安全決策提供信息所需的信息

　　組織確定誰(shuí)負(fù)責(zé)（和負(fù)責(zé)）技術(shù)系統(tǒng)在整個(gè)系統(tǒng)生命周期中的持續(xù)安全

　　當(dāng)組織決定適合他們的治理方法時(shí)，需考慮以下因素：

　　組織將如何在不同的業(yè)務(wù)、技術(shù)和決策環(huán)境中管理與技術(shù)相關(guān)的安全風(fēng)險(xiǎn)？

　　在管理與技術(shù)相關(guān)的安全風(fēng)險(xiǎn)（例如法律、監(jiān)管或特定行業(yè)）時(shí)，哪些外部要求是相關(guān)的？

　　需要哪些業(yè)務(wù)流程來(lái)支持安全風(fēng)險(xiǎn)管理決策的制定？

　　需要哪些信息和文檔才能使決策者做出及時(shí)、知情和客觀的安全風(fēng)險(xiǎn)管理決策？

　　組織將如何確保負(fù)責(zé)管理風(fēng)險(xiǎn)（和制定風(fēng)險(xiǎn)管理決策）的人員擁有正確的業(yè)務(wù)和安全技能、知識(shí)和培訓(xùn)？

　　組織如何確信其管理風(fēng)險(xiǎn)的方法是有效的，以及它用于業(yè)務(wù)的系統(tǒng)足夠安全以滿足其需求？

　　組織將如何確保風(fēng)險(xiǎn)管理決策和行動(dòng)的可追溯性和問(wèn)責(zé)制？

　　組織將如何對(duì)其管理安全風(fēng)險(xiǎn)的方式進(jìn)行持續(xù)改進(jìn)？

　　委派決策

　　有效的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理建立在明智的決策之上。但是，組織內(nèi)的高級(jí)管理層不需要做出所有風(fēng)險(xiǎn)管理決策。風(fēng)險(xiǎn)管理決策可以在組織內(nèi)的所有級(jí)別進(jìn)行，并委托給最能理解問(wèn)題的人。決策者應(yīng)該具備正確的安全、業(yè)務(wù)和技術(shù)知識(shí)（以及技能和經(jīng)驗(yàn)），使他們能夠在不同的業(yè)務(wù)環(huán)境中做出有效和及時(shí)的風(fēng)險(xiǎn)管理決策。

　　為了使安全風(fēng)險(xiǎn)管理有效，重要的是在負(fù)責(zé)組織安全的人員與有權(quán)代表他們做出風(fēng)險(xiǎn)管理決策的人員之間建立清晰的溝通渠道。在委托決策的情況下，委托的范圍必須明確。也就是說(shuō)，他們應(yīng)該了解什么時(shí)候需要升級(jí)決策以獲得業(yè)務(wù)中更高級(jí)的關(guān)注。

　　處理復(fù)雜性和不確定性

　　用于提供現(xiàn)代業(yè)務(wù)能力的技術(shù)系統(tǒng)可以被視為復(fù)雜的“社會(huì)技術(shù)”系統(tǒng)，在技術(shù)、人員和組織之間進(jìn)行交互。這種復(fù)雜性意味著有時(shí)可以了解并管理安全風(fēng)險(xiǎn)的原因和影響，有時(shí)又無(wú)法了解。

　　風(fēng)險(xiǎn)管理中的不確定性是不可避免的，因?yàn)闆Q策者和從業(yè)者為安全決策提供信息所需的信息可能不可用、未知或主觀得出。這種不確定性因以下原因而加?。?/p>

　　參與風(fēng)險(xiǎn)分析、評(píng)估和決策過(guò)程的人員的偏見(jiàn)

　　方法和工具及其使用方式的局限性

　　這種復(fù)雜性和不確定性并不意味著組織無(wú)法管理安全風(fēng)險(xiǎn)。相反，負(fù)責(zé)做出風(fēng)險(xiǎn)決策的人需要：

　　了解他們使用的工具的局限性

　　了解在某些情況下可以通過(guò)實(shí)施預(yù)定義的安全控制和方法來(lái)管理風(fēng)險(xiǎn)，以及在某些情況下不能進(jìn)行管理

　　在不同的環(huán)境中采用不同的策略來(lái)做出明智的安全風(fēng)險(xiǎn)管理決策

　　發(fā)展有效的文化和環(huán)境

　　有效的安全文化和環(huán)境還將幫助組織應(yīng)對(duì)這種復(fù)雜性和風(fēng)險(xiǎn)管理的不確定性?？梢酝ㄟ^(guò)以下方式鼓勵(lì)適當(dāng)?shù)陌踩幕铜h(huán)境：

　　確保參與安全風(fēng)險(xiǎn)管理決策的每個(gè)人都了解實(shí)現(xiàn)目標(biāo)和維護(hù)業(yè)務(wù)的優(yōu)先級(jí)比遵守通用的預(yù)定檢查表更重要

　　聘用具備網(wǎng)絡(luò)安全、業(yè)務(wù)和風(fēng)險(xiǎn)管理技能以及制定和實(shí)現(xiàn)有效決策所需的知識(shí)和專長(zhǎng)的人員

　　信任并授權(quán)這些人做出風(fēng)險(xiǎn)管理決策

　　盡量減少程序和文件的工作量，只限于實(shí)現(xiàn)及時(shí)有效決策所必需的工作量

　　將風(fēng)險(xiǎn)管理“烘焙”成“一切照舊”，因此它被視為與其他風(fēng)險(xiǎn)管理方式一致的持續(xù)活動(dòng)（而不是一次性行動(dòng)）

　　使負(fù)責(zé)制定風(fēng)險(xiǎn)管理決策的人員能夠輕松訪問(wèn)（并理解）他們需要的信息

　　減少該信息以任何引入不確定性和偏見(jiàn)的方式被誤解、削弱或闡述的機(jī)會(huì)

　　接受技術(shù)和安全風(fēng)險(xiǎn)將被意識(shí)到，并了解組織將采取哪些措施來(lái)最大限度地減少損害、繼續(xù)運(yùn)營(yíng)并根據(jù)經(jīng)驗(yàn)教訓(xùn)進(jìn)行改進(jìn)

　　確保以下人員之間的溝通：

　　a） 負(fù)責(zé)安全的人員

　　b） 負(fù)責(zé)制定風(fēng)險(xiǎn)管理決策的人員

　　c） 負(fù)責(zé)執(zhí)行風(fēng)險(xiǎn)管理活動(dòng)的人員

　　- 清晰且有意義，以便可以正確有效地對(duì)信息采取行動(dòng)

　　溝通風(fēng)險(xiǎn)管理信息

　　風(fēng)險(xiǎn)管理信息的有效溝通有助于組織指導(dǎo)和控制風(fēng)險(xiǎn)管理活動(dòng)。為了使這種溝通有效，組織必須建立內(nèi)部和外部渠道來(lái)與員工、業(yè)務(wù)合作伙伴和客戶進(jìn)行溝通。組織內(nèi)的溝通在組織的正確級(jí)別之間流動(dòng)時(shí)最有效；自上而下、自下而上和橫向：

　　自上而下的溝通為決策者提供公司方向和業(yè)務(wù)目標(biāo)

　　自下而上和橫向溝通提供詳細(xì)的技術(shù)、非技術(shù)和安全信息，以告知風(fēng)險(xiǎn)管理決策

　　在內(nèi)部溝通時(shí)，應(yīng)包括：

　　業(yè)務(wù)目標(biāo)、優(yōu)先事項(xiàng)和風(fēng)險(xiǎn)管理方向

　　組織關(guān)心什么以及為什么

　　組織將（和不會(huì)）承擔(dān)哪些風(fēng)險(xiǎn)

　　誰(shuí)負(fù)責(zé)做出風(fēng)險(xiǎn)管理決策

　　在與第三方進(jìn)行外部溝通時(shí)，應(yīng)包括：

　　風(fēng)險(xiǎn)管理和決策背景

　　什么需要保護(hù)，為什么？

　　如果受保護(hù)資產(chǎn)的安全依賴于另一方，那么組織期望該方采取什么措施來(lái)保護(hù)它？（例如合同中的安全程序或安全要求）

　　在第三方為組織關(guān)心的事情提供安全性的情況下，組織如何獲得第三方正在按預(yù)期提供安全性的信心？

　　為了以清晰且有意義的方式傳達(dá)風(fēng)險(xiǎn)管理信息，組織應(yīng)使用通俗易懂的英語(yǔ)和眾所周知的業(yè)務(wù)、技術(shù)和安全術(shù)語(yǔ)。應(yīng)避免使用定制的風(fēng)險(xiǎn)管理語(yǔ)言或?qū)I(yè)術(shù)語(yǔ)。

　　人們通常認(rèn)為，由于組織使用通用的風(fēng)險(xiǎn)評(píng)估（或風(fēng)險(xiǎn)管理）方法，因此他們將能夠使用生成的風(fēng)險(xiǎn)信息（例如風(fēng)險(xiǎn)編號(hào)、風(fēng)險(xiǎn)級(jí)別和影響級(jí)別）作為速記，將信息傳達(dá)給風(fēng)險(xiǎn)管理決策者和業(yè)務(wù)合作伙伴。如果沒(méi)有就風(fēng)險(xiǎn)管理信息的含義達(dá)成一致，這種假設(shè)是不正確的。個(gè)人和組織會(huì)根據(jù)他們的個(gè)人和群體偏見(jiàn)、他們的經(jīng)驗(yàn)、知識(shí)和優(yōu)先事項(xiàng)來(lái)解釋或誤解與風(fēng)險(xiǎn)相關(guān)的信息。如果提供的風(fēng)險(xiǎn)管理信息沒(méi)有意義、解釋或上下文，則尤其如此。

　　與任何其他關(guān)系一樣，各方之間的信任建立在良好的溝通之上，這使雙方能夠理解彼此的價(jià)值，并就風(fēng)險(xiǎn)管理信息和風(fēng)險(xiǎn)評(píng)估輸出的具體含義達(dá)成一致。這種理解將使組織能夠信任其他人提供給他們的風(fēng)險(xiǎn)管理信息，并自信地使用技術(shù)系統(tǒng)和服務(wù)。